ping6.net
마이그레이션

듀얼 스택 네트워킹: IPv4와 IPv6 함께 실행하기

IPv4와 IPv6가 공존하는 듀얼 스택 네트워크를 배포하고 관리하는 방법을 알아보세요. 구성, 문제 해결 및 전환 전략을 다룹니다.

ping6.net2024년 12월 14일17 min read
IPv6듀얼 스택IPv4마이그레이션네트워킹전환

듀얼 스택 네트워킹이란#

듀얼 스택은 동일한 네트워크 인프라에서 IPv4와 IPv6를 동시에 실행하는 것을 의미합니다. 모든 장치는 IPv4 주소와 IPv6 주소를 모두 받습니다. 애플리케이션은 가용성과 선호도에 따라 사용할 프로토콜을 자동으로 선택합니다.

이것은 대부분의 조직에 권장되는 전환 접근 방식입니다. 마이그레이션 주말이나 서비스 전환이 필요하지 않습니다. IPv6를 점진적으로 활성화하는 동안 IPv4는 계속 작동합니다. 기존 클라이언트에는 중단이 없습니다. IPv6 지원 클라이언트는 네이티브 연결을 얻습니다. 자신의 속도로 마이그레이션할 수 있습니다.

실제 채택은 이를 반영합니다. Google의 통계에 따르면 사용자의 40% 이상이 IPv6를 통해 서비스에 액세스합니다. 대부분의 주요 네트워크(모바일 통신사, 클라우드 제공업체, 콘텐츠 전송 네트워크)는 오늘날 듀얼 스택으로 실행됩니다. 더 이상 실험적이지 않습니다. 프로덕션 표준입니다.

TL;DR - 빠른 요약

핵심 포인트:

  • 듀얼 스택은 IPv4와 IPv6를 동시에 실행합니다. 마이그레이션 전환이 필요하지 않습니다
  • 애플리케이션은 빠른 IPv4 폴백과 함께 IPv6를 자동으로 선호합니다(Happy Eyeballs 알고리즘)
  • 중요: 두 프로토콜 모두에 동일한 보안 정책을 적용하세요(방화벽 규칙, ACL)
  • DNS는 듀얼 스택 서비스에 대해 A 및 AAAA 레코드를 모두 게시해야 합니다
  • 두 프로토콜을 독립적으로 모니터링하세요. IPv6 장애가 IPv4 폴백 뒤에 숨을 수 있습니다

바로가기: 구성 예시 | 주소 선택 | 보안 | 문제 해결

듀얼 스택 작동 방식#

듀얼 스택 네트워크에서 각 인터페이스는 두 개의 네트워크 스택을 전달합니다. 서버에는 IPv4용 192.0.2.10과 IPv6용 2001:db8::10이 있을 수 있습니다. 두 주소 모두 독립적으로 작동합니다. 트래픽은 클라이언트와 서버가 협상하는 내용에 따라 두 프로토콜 중 하나를 통해 흐를 수 있습니다.

┌──────────────────────────────────────┐
│   애플리케이션 (curl, 브라우저)         │
│     DNS를 사용하여 주소 찾기            │
├──────────────────────────────────────┤
│        TCP/UDP (비의존적)              │
├───────────────────┬──────────────────┤
│   IPv4 스택        │   IPv6 스택       │
│   192.0.2.10      │   2001:db8::10   │
│   gw1을 통한 라우팅│   gw2를 통한 라우팅│
└───────────────────┴──────────────────┘
         │                   │
    IPv4 네트워크         IPv6 네트워크

네트워크 계층은 별도의 라우팅 테이블을 유지합니다. IPv4 패킷은 IPv4 경로를 따릅니다. IPv6 패킷은 IPv6 경로를 따릅니다. 서로 간섭하지 않습니다.

애플리케이션 동작: Happy Eyeballs#

애플리케이션은 프로토콜을 수동으로 선택하지 않습니다. 운영 체제는 "Happy Eyeballs"(RFC 8305)라는 알고리즘을 사용하여 프로토콜 선택을 처리합니다. 이를 이해하면 연결 문제를 디버그하는 데 도움이 됩니다.

프로세스:

  1. 애플리케이션이 example.com에 대한 연결 요청
  2. DNS가 A(IPv4)와 AAAA(IPv6) 레코드 모두 반환
  3. OS가 먼저 IPv6 연결 시도
  4. 50-250ms 지연 후(구현에 따라 다름), OS가 병렬로 IPv4 연결 시작
  5. 먼저 완료되는 연결이 승리
  6. 후속 연결을 위해 결과 캐시됨

이를 통해 사용자는 타임아웃을 기다리지 않고 사용 가능한 가장 빠른 연결을 얻을 수 있습니다. IPv6가 우선되지만 손상된 IPv6는 1초 미만의 사용자가 볼 수 있는 지연을 일으키지 않습니다.

듀얼 스택 대상에 대해 Ping 도구를 사용하여 이 동작을 테스트하세요. IPv4 및 IPv6 응답 시간을 비교하세요.

DNS는 두 레코드 유형 모두 반환#

듀얼 스택에서 DNS 서버는 동일한 호스트 이름에 대해 A 및 AAAA 레코드를 모두 게시합니다:

$ dig example.com A +short
192.0.2.10
 
$ dig example.com AAAA +short
2001:db8::10

클라이언트는 두 유형 모두 쿼리합니다(또는 IPv6 전용 네트워크에서 DNS64 합성 사용). 리졸버는 존재하는 레코드를 반환합니다. A만 존재하면 클라이언트는 IPv4를 사용합니다. 둘 다 존재하면 Happy Eyeballs가 결정합니다.

구성 예시#

듀얼 스택 구성은 최신 시스템에서 간단합니다. 대부분은 SLAAC(Stateless Address Autoconfiguration) 또는 DHCPv6를 통한 자동 구성을 지원합니다.

Linux: Netplan (Ubuntu)#

최신 Ubuntu는 네트워크 구성에 Netplan을 사용합니다. /etc/netplan/01-netcfg.yaml을 편집하세요:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: true
      dhcp6: true
      accept-ra: true

주요 설정:

  • dhcp4: true - DHCP를 통해 IPv4 획득
  • dhcp6: true - DHCPv6를 통해 IPv6 획득
  • accept-ra: true - SLAAC를 위한 라우터 알림 수락

구성 적용:

sudo netplan apply

두 프로토콜 확인:

ip addr show eth0
# "inet"(IPv4)와 "inet6"(IPv6) 주소 모두 확인

Linux: NetworkManager (Fedora, RHEL, CentOS)#

NetworkManager의 명령줄 인터페이스 사용:

# 연결에서 두 프로토콜 모두 활성화
nmcli connection modify "Wired connection 1" ipv4.method auto
nmcli connection modify "Wired connection 1" ipv6.method auto
 
# 변경 사항 적용
nmcli connection up "Wired connection 1"
 
# 구성 확인
nmcli device show eth0

정적 듀얼 스택 구성의 경우:

# 정적 IPv4 및 IPv6 구성
nmcli connection modify "Wired connection 1" \
  ipv4.method manual \
  ipv4.addresses 192.0.2.10/24 \
  ipv4.gateway 192.0.2.1 \
  ipv6.method manual \
  ipv6.addresses 2001:db8::10/64 \
  ipv6.gateway 2001:db8::1
 
nmcli connection up "Wired connection 1"

Windows 10/11#

Windows는 기본적으로 듀얼 스택을 활성화합니다. 확인하거나 재구성하려면:

GUI 방법:

  1. Win + R을 누르고 ncpa.cpl을 입력한 다음 Enter를 누릅니다
  2. 네트워크 어댑터 우클릭 → 속성
  3. 두 프로토콜이 모두 선택되어 있는지 확인:
    • 인터넷 프로토콜 버전 4 (TCP/IPv4)
    • 인터넷 프로토콜 버전 6 (TCP/IPv6)
  4. 필요에 따라 각 프로토콜의 속성 구성

PowerShell 방법:

# 현재 구성 확인
Get-NetIPAddress -InterfaceAlias "Ethernet"
 
# 두 프로토콜 모두에 대한 자동 구성 활성화
Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Enabled
Set-NetIPInterface -InterfaceAlias "Ethernet" -AddressFamily IPv6 -Dhcp Enabled
 
# 또는 정적 주소 구성
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 192.0.2.10 -PrefixLength 24 -DefaultGateway 192.0.2.1
 
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 2001:db8::10 -PrefixLength 64 -DefaultGateway 2001:db8::1
 
# 확인
Get-NetIPAddress -InterfaceAlias "Ethernet"
Get-NetRoute -InterfaceAlias "Ethernet"

radvd를 사용한 Linux 라우터#

Linux 시스템을 듀얼 스택 라우터로 구성하려면 포워딩을 활성화하고 라우터 알림 데몬을 실행하세요.

IP 포워딩 활성화:

# 임시
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1
 
# 영구
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

radvd 설치 및 구성:

sudo apt install radvd  # Ubuntu/Debian
# 또는
sudo dnf install radvd  # Fedora/RHEL

/etc/radvd.conf 편집:

interface eth0
{
    AdvSendAdvert on;
    MinRtrAdvInterval 3;
    MaxRtrAdvInterval 10;
 
    prefix 2001:db8::/64
    {
        AdvOnLink on;
        AdvAutonomous on;
        AdvRouterAddr on;
    };
 
    RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
    {
    };
};

서비스 시작:

sudo systemctl enable radvd
sudo systemctl start radvd

eth0 네트워크의 클라이언트는 이제 라우터 알림을 받고 SLAAC를 통해 IPv6 주소를 자동으로 구성합니다.

Cisco IOS 라우터#

Cisco 라우터에서 듀얼 스택 구성:

! IPv6 라우팅 활성화
ipv6 unicast-routing
 
! WAN 인터페이스 구성 (듀얼 스택)
interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ipv6 address autoconfig
 ipv6 enable
 no shutdown
 
! LAN 인터페이스 구성 (듀얼 스택)
interface GigabitEthernet0/1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ipv6 address 2001:db8:1::1/64
 ipv6 enable
 ipv6 nd prefix 2001:db8:1::/64
 ipv6 nd ra interval 10
 no shutdown
 
! 기본 경로 구성
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ipv6 route ::/0 GigabitEthernet0/0
 
! 구성 확인
show ip interface brief
show ipv6 interface brief

SLAAC vs DHCPv6

라우터 알림은 DHCP 서버 없이 클라이언트 주소를 자동 구성하는 SLAAC를 활성화합니다. 더 많은 제어(DNS 서버, NTP, 도메인 이름)를 위해 SLAAC와 함께 DHCPv6를 사용하세요. 대부분의 네트워크는 단순성을 위해 SLAAC를 실행합니다.

주소 선택 규칙#

듀얼 스택 클라이언트가 듀얼 스택 서버에 연결할 때 사용할 프로토콜을 어떻게 선택할까요? RFC 6724는 소스 및 대상 주소 선택 알고리즘을 정의합니다.

기본 우선순위#

알고리즘은 다음 규칙(단순화됨)을 기반으로 주소를 평가합니다:

  1. 동일한 범위 선호 - 링크 로컬에서 링크 로컬로, 전역에서 전역으로
  2. 일치하는 주소 패밀리 선호 - 소스가 IPv6이면 IPv6 대상 선호
  3. 더 높은 우선순위 선호 - IPv6는 IPv4보다 기본 우선순위가 높음
  4. 네이티브 전송 선호 - 가능하면 터널링 피하기
  5. 더 작은 범위 선호 - 더 구체적인 경로 선호
  6. 최장 일치 접두사 사용 - 더 구체적인 경로가 승리

기본적으로 IPv6는 IPv4보다 우선됩니다. 이것은 의도적입니다. IPv6 채택을 장려하고 더 나은 성능을 제공합니다(NAT 오버헤드 없음).

IPv6가 일반적으로 승리하는 이유#

듀얼 스택 클라이언트와 듀얼 스택 서버가 주어진 경우:

클라이언트가 가진 것: 192.0.2.100 및 2001:db8::100
서버가 가진 것: 192.0.2.10 및 2001:db8::10
DNS 반환: A 192.0.2.10, AAAA 2001:db8::10

선택 알고리즘:

  1. 두 주소 모두 전역 범위 → 동점
  2. 클라이언트가 IPv4 및 IPv6 소스 주소를 모두 가짐 → 동점
  3. IPv6 우선순위 (::ffff:0:0/96 = 35, ::/0 = 40) > IPv4 우선순위 (::ffff:0:0/96 = 35) → IPv6 승리

결과: IPv6 연결이 손상되지 않는 한 연결은 IPv6를 사용합니다.

정책 테이블 구성#

정책 테이블을 편집하여 기본 동작을 수정할 수 있습니다. 이것은 거의 필요하지 않지만 특정 요구 사항에 유용합니다.

Linux (Glibc):

/etc/gai.conf (주소 선택 정책) 편집:

# IPv4를 IPv6보다 선호 (권장하지 않음)
precedence ::ffff:0:0/96  100
precedence ::/0            50

Windows:

# 현재 정책 테이블 표시
Get-NetIPv6Protocol | Format-List
 
# IPv4 선호 (권장하지 않음)
Set-NetIPv6Protocol -PreferredProtocol IPv4
 
# 기본값으로 재설정 (IPv6 선호)
Set-NetIPv6Protocol -PreferredProtocol IPv6

IPv4 우선순위 강제하지 마세요

IPv4를 선호하도록 기본값을 재정의하면 듀얼 스택의 목적이 무산됩니다. 정책 변경으로 숨기는 대신 손상된 IPv6 연결을 수정하세요. IPv6 전용 네트워크(모바일 통신사)의 사용자는 성능 저하 또는 장애를 경험할 것입니다.

IPv4가 선호되는 경우#

IPv4는 다음 시나리오에서 선택됩니다:

  1. IPv6 연결 없음 - IPv6 라우팅이 손상된 경우 Happy Eyeballs가 IPv4로 폴백
  2. 6to4 또는 Teredo - 터널링된 IPv6는 네이티브 IPv4보다 우선순위가 낮음
  3. 명시적 애플리케이션 선택 - 애플리케이션이 IPv4를 강제(나쁜 관행이지만 발생함)
  4. 수정된 정책 테이블 - 관리자가 수동으로 우선순위 변경

"IPv4 선호"로 레이블이 지정된 대부분의 문제는 실제로 손상된 IPv6 연결이 폴백을 트리거하는 것입니다.

DNS 고려 사항#

듀얼 스택 DNS 구성은 중요합니다. DNS 구성 오류는 연결 지연, 장애 또는 예상치 못한 프로토콜 선택을 유발합니다.

두 레코드 유형 모두 게시#

모든 듀얼 스택 서비스에 대해 A 및 AAAA 레코드를 모두 게시하세요:

example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10

IPv6가 작동하지 않으면 AAAA를 게시하지 마세요. 클라이언트는 먼저 IPv6를 시도하고 실패한 다음 지연 후 IPv4로 폴백합니다. 이로 인해 사용자 경험이 저하됩니다.

해석 순서#

최신 DNS 리졸버는 A와 AAAA를 동시에 또는 최소 지연으로 쿼리합니다. 리졸버는 두 유형을 모두 반환하고 클라이언트의 OS가 주소 선택을 수행합니다.

일부 오래되거나 잘못 구성된 리졸버는 순차적으로 쿼리합니다(먼저 A, 다음 AAAA). 이는 지연 시간을 추가하지만 기능을 손상시키지는 않습니다.

한 프로토콜이 실패할 때 발생하는 일#

IPv6는 도달 가능하지만 서비스가 IPv6에서 응답하지 않는 경우:

  1. 클라이언트가 IPv6 연결 시도
  2. 연결이 시간 초과되거나 거부됨
  3. Happy Eyeballs가 병렬로 또는 짧은 지연 후 IPv4 시도
  4. IPv4 연결 성공

총 지연 시간: 일반적으로 50-250ms + 연결 시간 초과(최악의 경우 1-3초). 눈에 띄지만 치명적이지는 않습니다.

더 나은 솔루션: IPv6 연결을 수정하거나 IPv6가 작동할 때까지 AAAA 레코드를 제거하세요.

TTL 정렬#

A 및 AAAA 레코드에 동일한 TTL을 설정하세요. TTL 불일치는 일관성 없는 캐싱과 이상한 클라이언트 동작을 유발합니다.

# 좋음
example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10
 
# 나쁨 - TTL 불일치
example.com.    300    IN    A        192.0.2.10
example.com.    3600   IN    AAAA     2001:db8::10

IP 주소를 변경해야 하는 경우 미리 두 레코드의 TTL을 낮추세요. 이전 TTL이 만료될 때까지 기다린 다음 IP를 변경하고 정상 TTL을 복원하세요.

일반적인 문제 및 솔루션#

문제원인솔루션
느린 연결 설정IPv6 시간 초과 후 IPv4 폴백IPv6 연결 수정 또는 AAAA 레코드 제거
간헐적 연결 실패한 프로토콜이 손상됨, Happy Eyeballs 경쟁curl -4curl -6로 두 프로토콜을 독립적으로 테스트
애플리케이션이 IPv4만 사용하드코딩된 IPv4, 오래된 라이브러리 또는 0.0.0.0에 바인딩애플리케이션 설정 확인, ::에 바인딩하도록 코드 업데이트
IPv6 기본 경로 없음라우터가 RA를 보내지 않거나 DHCPv6가 경로를 제공하지 않음라우터 구성 확인, ip -6 route show 확인
Windows가 IPv4 선호Teredo 또는 6to4 활성 (터널링)터널 인터페이스 비활성화: netsh interface teredo set state disabled
방화벽이 IPv6 차단IPv6 규칙이 구성되지 않았거나 너무 제한적두 프로토콜에 동일한 보안 정책 적용
개인정보 주소 변경이 연결 중단RFC 4941 임시 주소 순환서버에는 안정적인 주소, 클라이언트에는 임시 주소 사용
경로 MTU 발견 실패ICMPv6 "패킷 너무 큼"이 차단됨방화벽 규칙에서 ICMPv6 유형 2 허용

상세한 문제 해결: 느린 연결#

대부분의 듀얼 스택 불만은 "느린" 연결과 관련이 있습니다. 이것은 일반적으로 손상된 IPv6가 폴백 지연을 트리거하고 있음을 의미합니다.

진단:

# IPv4만 테스트
curl -4 -w "Time: %{time_total}s\n" -o /dev/null -s https://example.com
 
# IPv6만 테스트
curl -6 -w "Time: %{time_total}s\n" -o /dev/null -s https://example.com
 
# 기본값 (듀얼 스택) 테스트
curl -w "Time: %{time_total}s\n" -o /dev/null -s https://example.com

-6이 실패하거나 시간 초과되고 -4가 성공하며 기본값이 지연을 표시하면 IPv6가 손상된 것입니다.

수정 옵션:

  1. IPv6 수정 - 권장 솔루션. 라우팅, 방화벽 규칙 또는 ISP 연결을 디버그하세요.
  2. AAAA 레코드 제거 - 임시 해결 방법. IPv6를 수정할 때까지 서비스는 IPv4 전용이 됩니다.
  3. 서버에서 IPv6를 비활성화하지 마세요 - 이것은 문제를 손상시키고 실제 문제를 숨깁니다.

듀얼 스택 네트워크 모니터링#

측정하지 않는 것은 관리할 수 없습니다. 듀얼 스택 네트워크는 두 프로토콜을 독립적으로 모니터링해야 합니다.

두 프로토콜 모두 테스트#

연결을 개별적으로 테스트하여 어떤 프로토콜이 실패하는지 식별하세요:

# IPv4를 통한 Ping
ping -4 google.com
 
# IPv6를 통한 Ping
ping -6 google.com
 
# IPv4를 통한 Traceroute
traceroute -4 google.com
 
# IPv6를 통한 Traceroute
traceroute -6 google.com
 
# 특정 프로토콜을 사용한 Curl
curl -4 https://example.com
curl -6 https://example.com

이러한 테스트를 모니터링 스크립트에 구축하세요. 다른 프로토콜이 작동하더라도 한 프로토콜이 실패하면 경고하세요.

추적할 메트릭#

다음 듀얼 스택 특정 메트릭을 모니터링하세요:

  1. 프로토콜 분포 - IPv4 대 IPv6를 사용하는 트래픽 비율
  2. 연결 성공률 - 프로토콜별, 실패한 연결 추적
  3. 응답 시간 - IPv4 및 IPv6 대기 시간 비교
  4. BGP 접두사 - IPv4 및 IPv6 경로가 모두 알림되는지 확인
  5. DNS 쿼리 비율 - A 대 AAAA 쿼리 속도 추적
  6. ICMPv6 오류율 - 급증은 라우팅 또는 MTU 문제를 나타냄

시간 경과에 따라 이러한 메트릭을 추세 분석하면 채택 진행 상황을 보여주고 사용자에게 영향을 미치기 전에 문제를 강조 표시합니다.

프로토콜 장애에 대한 경고#

각 프로토콜에 대해 별도의 경고 생성:

  • IPv4 기본 게이트웨이 도달 불가
  • IPv6 기본 게이트웨이 도달 불가
  • AAAA 레코드가 게시되었지만 IPv6 서비스 도달 불가
  • IPv6 연결 시간 초과 급증
  • 비대칭 라우팅 (IPv6를 통해 전송된 트래픽, IPv4를 통해 반환됨)

일반적인 "서비스 다운" 경고에 의존하지 마세요. 프로토콜별 가시성이 필요합니다.

테스트용 도구#

다음 도구를 사용하여 듀얼 스택 작동을 확인하세요:

  • ping6.net 도구 - 다양한 관점에서 IPv4 및 IPv6 연결 테스트
  • curl -4/-6 플래그 사용 - HTTP(S) 테스트를 위한 프로토콜 선택 강제
  • dig +short A/AAAA - DNS가 두 레코드 유형을 모두 반환하는지 확인
  • tcpdump/wireshark - 프로토콜별 트래픽 캡처 및 분석
  • mtr -4 / mtr -6 - 경로 차이를 보여주는 연속 traceroute

Ping 도구Traceroute 도구는 IPv4 또는 IPv6 강제를 지원하여 듀얼 스택 테스트를 간단하게 만듭니다.

보안 고려 사항#

듀얼 스택은 공격 표면을 확장합니다. 두 프로토콜 모두 동등한 보안 정책이 필요합니다.

두 프로토콜에 대한 방화벽 규칙#

가장 일반적인 듀얼 스택 보안 실수: IPv6 방화벽 규칙 구성을 잊는 것. 관리자는 IPv4 ACL 구축에 수년을 보낸 다음 필터링 없이 IPv6를 활성화합니다. 공격자는 이것을 좋아합니다.

두 프로토콜에 동일한 보안 정책 적용:

IPv4 정책이 다음과 같은 경우:

다음을 제외한 모든 인바운드 거부:
  - 관리 네트워크에서 TCP 22 (SSH)
  - 어디서나 TCP 443 (HTTPS)
  - ICMP 에코 요청 (ping)

IPv6 정책은 다음과 같아야 합니다:

다음을 제외한 모든 인바운드 거부:
  - 관리 네트워크에서 TCP 22 (SSH)
  - 어디서나 TCP 443 (HTTPS)
  - ICMPv6 유형 1,2,3,4,128,129 (필수 유형)
  - ICMPv6 유형 133-137 (이웃 발견, 로컬만)

ip6tables, nftables 또는 상용 방화벽과 같은 도구는 듀얼 스택을 지원합니다. 두 주소 패밀리를 모두 구성하세요.

일반적인 실수: IPv4는 보호하지만 IPv6는 잊음#

조직은 규정 준수 또는 테스트를 위해 IPv6를 활성화한 다음 활성 상태임을 잊습니다. 공격자는 IPv6 범위를 스캔하여 필터링되지 않은 호스트를 찾습니다.

시나리오 예:

  1. 관리자가 제한적인 IPv4 방화벽 구성, HTTPS만 노출됨
  2. "미래 대비"를 위해 라우터에서 IPv6가 활성화됨
  3. 서버가 SLAAC를 통해 IPv6 주소 획득
  4. IPv6 방화벽 규칙이 구성되지 않음
  5. 공격자가 2001:db8::/64를 스캔하여 노출된 SSH, 데이터베이스, 내부 서비스 발견

예방:

  • IPv4와 동일하게 IPv6 방화벽 규칙 감사
  • 두 프로토콜에서 기본 거부
  • IPv6 전용 스캐닝 도구로 테스트
  • 예상치 못한 IPv6 연결 모니터링

중요한 보안 격차

방화벽을 구성하지 않고 IPv6를 활성화하는 것은 필터링 없이 서버를 인터넷에 직접 배치하는 것과 같습니다. AAAA 레코드를 게시하기 전에 항상 IPv6 보안 규칙을 구성하세요.

클라이언트를 위한 개인정보 확장#

SLAAC는 인터페이스의 MAC 주소(EUI-64 형식)를 사용하여 주소를 생성합니다. 이는 네트워크 전체에서 추적 가능한 안정적인 식별자를 생성합니다. 이것은 모바일 클라이언트에 대한 개인정보 문제입니다.

개인정보 확장(RFC 4941)은 주기적으로 순환하는 무작위 임시 주소를 생성합니다. 클라이언트는 수신 연결을 위한 안정적인 주소를 유지하면서 발신 연결에는 임시 주소를 사용합니다.

개인정보 확장 활성화:

Linux:

# 상태 확인 (2 = 임시 주소 선호)
sysctl net.ipv6.conf.all.use_tempaddr
 
# 활성화
sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
 
# 영구적으로 만들기
echo "net.ipv6.conf.all.use_tempaddr = 2" | sudo tee -a /etc/sysctl.conf

Windows:

개인정보 확장은 Windows 7 이상에서 기본적으로 활성화되어 있습니다. 확인:

netsh interface ipv6 show privacy

macOS:

기본적으로 활성화됨. 구성 필요 없음.

중요: 서버에서 개인정보 확장을 활성화하지 마세요. 임시 주소는 DNS, 모니터링 및 방화벽 규칙을 손상시킵니다. 클라이언트 장치에서만 사용하세요.

IPv6 전용을 고려해야 할 때#

듀얼 스택은 전환 전략이지 최종 목표가 아닙니다. 결국 네트워크는 IPv6 전용으로 이동하여 운영을 단순화하고 IPv4 주소 부족을 제거합니다.

모바일 통신사는 이미 IPv6 전용 사용#

주요 모바일 통신사(T-Mobile USA, Reliance Jio, EE UK)는 IPv6 전용 코어 네트워크를 실행합니다. 필요할 때 464XLAT (NAT64 + CLAT)을 사용하여 IPv4 연결을 제공합니다.

사용자는 눈치채지 못합니다. 휴대폰에는 IPv6 주소가 있고 레거시 IPv4 전용 앱은 변환을 통해 투명하게 작동합니다.

IPv4 액세스를 위한 NAT64/DNS64#

IPv6 전용 네트워크는 NAT64 및 DNS64를 사용하여 IPv4 서비스에 액세스합니다:

  1. 클라이언트가 IPv4 전용 서비스에 대한 DNS 쿼리
  2. DNS64가 NAT64 접두사를 사용하여 AAAA 레코드 합성: 64:ff9b::192.0.2.10
  3. 클라이언트가 합성된 주소로 IPv6 트래픽 전송
  4. NAT64 게이트웨이가 IPv4로 변환, 서비스로 전달
  5. 응답이 IPv6로 다시 변환됨

이를 통해 IPv6 전용 클라이언트는 듀얼 스택을 실행하지 않고 나머지 IPv4 인터넷에 도달할 수 있습니다.

IPv6 전용을 배포할 때:

  • 모바일 네트워크 (이미 표준)
  • 새로운 데이터 센터 구축 (IPv4를 완전히 피함)
  • 레거시 요구 사항이 없는 그린필드 배포
  • 클라이언트 및 애플리케이션을 완전히 제어하는 조직

듀얼 스택을 유지할 때:

  • 기존 엔터프라이즈 네트워크 (IPv4 종속성 제거에는 수년이 걸림)
  • 레거시 하드웨어/소프트웨어가 있는 네트워크
  • 모든 클라이언트를 제어하지 않는 환경
  • 인터넷 대면 서비스 (듀얼 스택이 도달 가능성 최대화)

단순화 이점#

두 개가 아닌 하나의 프로토콜을 실행하면 다음이 줄어듭니다:

  • 라우팅 테이블 크기 (두 개가 아닌 하나의 테이블)
  • 방화벽 복잡성 (두 개가 아닌 하나의 정책)
  • IP 주소 관리 오버헤드
  • 모니터링 및 경고 복잡성

그러나 이러한 이점은 IPv4를 완전히 제거한 후에만 실현됩니다. 듀얼 스택은 IPv4 전용 또는 IPv6 전용보다 더 복잡하지만 대부분의 네트워크에 대한 유일한 실용적인 마이그레이션 경로입니다.

관련 기사#

듀얼 스택 네트워크 테스트

-4 및 -6 플래그가 있는 Ping 도구를 사용하여 두 프로토콜을 독립적으로 테스트하고 Traceroute 도구를 사용하여 라우팅 경로를 확인하세요.

자주 묻는 질문#

듀얼 스택이 대역폭 사용량을 두 배로 늘립니까?

아니요. 트래픽은 각 연결에 대해 IPv4 또는 IPv6 중 하나를 사용하며 둘 다 사용하지 않습니다. 듀얼 스택은 두 프로토콜을 모두 사용할 수 있음을 의미하지만 개별 연결은 하나를 선택하여 고수합니다.

일부 프로토콜(BGP와 같은)은 두 주소 패밀리를 통해 라우팅 정보를 교환할 수 있지만 이것은 무시할 수 있는 오버헤드입니다.

듀얼 스택 네트워크가 IPv4 전용보다 느린 이유는 무엇입니까?

그렇지 않아야 합니다. 느린 성능은 일반적으로 손상되거나 잘못 구성된 IPv6가 IPv4로 폴백하기 전에 연결 시간 초과를 트리거하고 있음을 나타냅니다. curl -4curl -6로 각 프로토콜을 독립적으로 테스트하여 어떤 것이 실패하는지 식별하세요.

IPv6가 느리지만 작동하는 경우 라우팅 비효율성 또는 ISP 피어링 문제를 확인하세요. IPv6 경로는 IPv4 경로만큼 최적화되지 않을 수 있습니다(아직).

NAT로 듀얼 스택을 실행할 수 있습니까?

예. IPv4는 NAT를 사용할 수 있고 IPv6는 NAT 없이 전역 주소를 사용합니다. 이것은 엔터프라이즈 및 홈 네트워크에서 일반적입니다. 라우터는 IPv6를 변경 없이 통과시키면서 사설 IPv4 주소(192.168.x.x, 10.x.x.x)를 변환합니다.

IPv6는 NAT가 필요하지 않습니다. 보안을 위해 NAT에 의존하는 대신 방화벽을 사용하세요.

사용하지 않는 경우 IPv6를 비활성화해야 합니까?

아니요. Microsoft, Apple 및 Linux 배포판은 모두 적극적으로 사용하지 않더라도 IPv6를 활성화된 상태로 두는 것을 권장합니다. IPv6를 비활성화하면 DirectAccess, HomeGroup, Windows Update와 같은 기능이 손상되고 DNS 확인 지연이 발생할 수 있습니다.

정말로 필요하지 않다면 활성화된 상태에서 무해합니다. 나중에 필요할 수 있다면 계속 켜두면 재구성 노력을 절약할 수 있습니다.

트래픽이 IPv4 또는 IPv6를 사용하는지 어떻게 알 수 있습니까?

다음과 같이 활성 연결을 확인하세요:

# Linux/macOS
netstat -tuln | grep -E '(tcp|udp)'
 
# Windows PowerShell
Get-NetTCPConnection | Select-Object LocalAddress,RemoteAddress
 
# 또는 tcpdump를 사용하여 실제 패킷 확인
sudo tcpdump -n -i eth0 'ip6 or ip'

IPv6 주소는 더 길고 콜론을 포함합니다. IPv4 주소는 점으로 구분된 10진수입니다. 대부분의 모니터링 도구는 프로토콜별로 트래픽에 레이블을 지정합니다.

ping6.net을 방문하여 사이트 도달에 사용 중인 프로토콜을 확인하세요.